Checkmarx Jenkins-kompromitteringen eksponerede udviklere og CI/CD-miljøer for infostealer-malware, efter angribere uploadede en ondsindet version af virksomhedens Jenkins AST-plugin til Jenkins Marketplace.
Sikkerhedsforskere advarede om, at organisationer, som brugte den kompromitterede plugin, straks burde rotere legitimationsoplysninger og undersøge deres systemer for mulig kompromittering. Hændelsen ramte et af de mest anvendte automatiseringsøkosystemer inden for softwareudvikling.
Checkmarx bekræftede senere bruddet og oplyste, at den ondsindede pluginudgivelse omgik virksomhedens normale publiceringspipeline.
Angribere kompromitterede den officielle plugin
Rapporter knyttede Checkmarx Jenkins-kompromitteringen til hackergruppen TeamPCP, som forskere tidligere har forbundet med flere softwarebaserede supply chain-angreb gennem 2026.
Ifølge efterforskere fik angriberne uautoriseret adgang til Checkmarx GitHub-repositorier og modificerede Jenkins AST-pluginen for at distribuere malware, der stjæler legitimationsoplysninger gennem den officielle Jenkins Marketplace.
Forskerne oplyste, at den kompromitterede pluginversion indeholdt ondsindet kode udviklet til at indsamle følsomme udviklerhemmeligheder fra Jenkins-miljøer og CI/CD-infrastruktur.
Angriberne skal også have ændret repository-navne og efterladt beskeder, hvor de kritiserede virksomhedens praksis for credential rotation efter, at bruddet blev offentligt kendt.
Infostealer-malware målrettede følsomme oplysninger
Forskere advarede om, at den ondsindede plugin potentielt kunne indsamle:
- GitHub-tokens
- Cloud-legitimationsoplysninger
- SSH-nøgler
- Kubernetes-konfigurationer
- Docker-legitimationsoplysninger
- Build pipeline-hemmeligheder
Sikkerhedseksperter forklarede, at CI/CD-miljøer fortsat er attraktive mål, fordi de ofte giver centraliseret adgang til kildekoderepositorier, deployeringssystemer, produktionsinfrastruktur og følsomme automatiseringsoplysninger.
Angribere, som kompromitterer build pipelines, kan potentielt bevæge sig dybere ind i virksomhedsmiljøer gennem betroet udviklerinfrastruktur.
Checkmarx anbefalede brugere at undgå de berørte pluginversioner og straks opgradere til sikre versioner udgivet efter hændelsen.
Supply chain-angreb fortsætter med at stige
Checkmarx Jenkins-kompromitteringen blev endnu et eksempel på den voksende bølge af supply chain-angreb rettet mod betroede udviklerøkosystemer. Forskere advarede om, at angribere i stigende grad fokuserer på plugins, pakkeregistre, GitHub Actions, npm-pakker og CI/CD-værktøjer, fordi disse platforme giver skalerbare distributionskanaler for malware.
Kompromittering af sikkerhedsfokuserede værktøjer skaber særligt alvorlige risici, fordi organisationer naturligt stoler på produkter udviklet til at forbedre applikationssikkerhed og sårbarhedshåndtering.
Forskerne advarede også om, at ondsindede plugins kan sprede sig lydløst gennem automatiserede udviklingspipelines, før forsvarere opdager mistænkelig aktivitet.
Den samme bredere kampagne skal ifølge rapporter have påvirket flere udviklerøkosystemer tidligere i år gennem credential-tyveri og modificerede pakker.
Forskere advarede om vedvarende adgang
Sikkerhedsforskere bemærkede, at dette ikke var den første hændelse knyttet til Checkmarx-infrastruktur i 2026. Tidligere undersøgelser involverede angiveligt kompromitterede GitHub Actions-workflows, ondsindede udviklingsartefakter og mistænkelig repository-aktivitet forbundet til overlappende angriberinfrastruktur.
Analytikere advarede om, at gentagne hændelser kan indikere ufuldstændige afhjælpningsindsatser eller vedvarende angriberadgang i udviklingsmiljøerne.
Angriberne selv syntes at henvise til tidligere brud gennem offentlige beskeder, hvor de kritiserede Checkmarx over håndtering af legitimationsoplysninger og secret rotation.
Hændelsen skabte ny bekymring omkring, hvordan organisationer beskytter udviklingsmiljøer og sikrer privilegerede automatiseringssystemer mod langvarig kompromittering.
Konklusion
Checkmarx Jenkins-kompromitteringen viste, hvor farlige supply chain-angreb mod betroede udviklerværktøjer kan blive. Ved at kompromittere en officiel Jenkins-plugin fik angriberne en potentiel adgangsvej til følsomme CI/CD-miljøer og virksomheds-infrastruktur.
Hændelsen forstærkede også den voksende bekymring omkring credential-håndtering, vedvarende adgangsrisici og den stigende sofistikering i angreb rettet mod moderne softwareudviklingsøkosystemer.
0 svar til “Checkmarx Jenkins-kompromittering leverede infostealer-malware”